У меня есть выделенный сервер, и люди с сервера говорят, что с моего сервера отправляется много спам-писем. Значит, его взломали. Они посмотрели, но не смогли найти, что он им отправляет. У меня было подключение к удаленному рабочему столу, и они его отключили, так что внешний доступ не должен быть возможен, но он все равно отправляет письма.
Как вы понимаете, я не технарь, поэтому понятия не имею, где искать вредоносное ПО или что-то еще, что рассылает письма.
Но как или где я могу увидеть, что какие-то письма отправляются? Это сервер Windows 2012r. Где мне смотреть? Я даже не знаю, какой почтовый сервер установлен, как мне узнать?
Я запустил на сервере вредоносное ПО и антивирусную программу, но ни одна из них ничего не нашла.
Любой вклад действительно ценен, спасибо.
решение1
Для отправки электронной почты вам не нужен установленный почтовый сервер. SMTP — это простой протокол, который подключается к TCP-порту 25 удаленного сервера и доставляет сообщение.Это может сделать любой процесс на скомпрометированном сервере.
Вы можете начать с использованияnetstat -b -n -oдля просмотра текущих подключений и процессов, участвующих в их создании. Или PowerShellGet-NetTCPConnectionкоторый может фильтровать список на основе порта с -RemotePort 25. Например
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
Этот анализ может помочь вам узнатькаквы заразились. Однако в конечном итоге это вернется к вопросу:Что делать, если сервер взломан?